ZyWALL SSL 10

ZyWALL SSL 10
Zintegrowana brama SSL VPN
Skrócona instrukcja obsługi
Wersja 1.00
6/2006
Copyright © 2006 ZyXEL Communications Corporation. Wszystkie prawa zastrzeŜone
ZyXEL
Wprowadzenie
ZyWALL SSL 10 jest to brama SSL VPN, która umoŜliwia skonfigurowanie bezpiecznego, zdalnego dostępu do
sieci i aplikacji bez potrzeby instalowania oprogramowania klienckiego. Niniejsza instrukcja pokazuje, w jaki
sposób podłączyć i skonfigurować bramę ZyWALL (SSL10) w sposób umoŜliwiający uŜytkownikowi zdalnemu (A)
dostęp do serwera WWW (WWW) w sieci lokalnej przez połączenie SSL-VPN. Podczas konfiguracji konieczne
mogą być parametry dostępu do Internetu.
Kroki konfiguracji
1.
2.
3.
4.
5.
6.
7.
Wymagania systemowe
Wstępne podłączenia sprzętowe
Dostęp do menu konfiguracji przez WWW
Kreator konfiguracji
Tworzenie odnośników umoŜliwiających łatwy dostęp zdalny
Testowanie połączenia uŜytkownika zdalnego z Internetu
Instalowanie bramy ZyWALL w sieci
1 Wymogi systemowe
PoniŜej przedstawiono wymogi odnośnie przeglądarki i komputera, za pomocą których loguje się zdalny
uŜytkownik.
•
Internet Explorer 5.5 z zainstalowanym pakietem poprawek Microsoft XML (MSXML) lub wersja 6.0 i
nowsze
•
Netscape 7.2 i nowsze
•
Firefox 1.0 i nowsze
•
Mozilla 1.7.3 i nowsze
•
Windows 2000 Professional, Windows XP Home/Professional (z dodatkiem service pack 2 lub nowszym)
lub Linux.
•
Zainstalowana wirtualna maszyna Java firmy SUN (Sun JVM) w wersji co najmniej 1.4.2_07 w
przypadku przeglądarek Netscape/Mozilla/Firefox lub 1.4.2_02 w przypadku przeglądarki Internet
Explorer i systemów Linux.
• Włączona Java w przeglądarce Internet Explorer w komputerach z systemem Windows.
2 Wstępne podłączenia sprzętowe
1.
2.
3.
Za pomocą przewodu Ethernet podłącz port WAN do modemu szerokopasmowego lub bramy.
UŜyj przewodu Ethernet, aby podłączyć komputer słuŜący do administracji do portu LAN.
Za pomocą znajdującego się w zestawie zasilacza podłącz 12-voltowe złącze zasilania (na tylnym
panelu) do gniazdka elektrycznego.
-2-
ZyXEL
Po podłączeniu zasilania i włączeniu urządzenia naleŜy sprawdzić diody LED. Włączy się dioda PWR. Dioda SYS
miga w czasie trwania testu systemu, a po jego pomyślnym zakończeniu świeci się światłem ciągłym. Diody WAN
i LAN świecą się, jeśli podłączone są odpowiadające im porty.
Jeśli po włączeniu zasilania nie świecą się Ŝadne diody LED, sprawdź podłączenia portów i
upewnij się, Ŝe w gniazdku elektrycznym jest prąd.
3 Dostęp do menu konfiguracji przez WWW
Wykonaj poniŜsze kroki, Ŝeby korzystając z połączenia LAN zalogować się do menu konfiguracji przez WWW i
ustawić parametry urządzenia ZyWALL. Do tej czynności naleŜy uŜywać przeglądarek Internet Explorer
6.0/Netscape 7.0 lub nowszych.
1.
2.
Upewnij się, Ŝe komputer jest skonfigurowany do odebrania adresu IP przypisanego przez urządzenie
ZyWALL.
Uruchom przeglądarkę. Wpisz adres 192.168.1.1 (domyślny adres IP urządzenia ZyWALL).
3.
Jeśli zobaczysz ekran ostrzegawczy, kliknij OK lub Tak, aby kontynuować.
4.
Pojawi się ekran logowania. Jako nazwę uŜytkownika wprowadź admin, zaś jako hasło 1234. Kliknij
przycisk Login.
-3-
ZyXEL
5.
6.
Jeśli pojawi się kolejny ekran certyfikatu, kliknij Tak, aby kontynuować.
Jest to pierwsze logowanie do urządzenia ZyWALL. Pojawi się początkowy ekran główny, taki jak na
ilustracji. Kliknij Setup Wizard.
4 Kreator konfiguracji
Kreator konfiguracji umoŜliwia początkową konfigurację urządzenia:
•
•
•
•
Skonfigurowanie ustawień LAN/WAN
Stworzenie konta zdalnego uŜytkownika
Stworzenie zasad dostępu SSL-VPN
Zarejestrowanie urządzenia ZyWALL.
Postępuj zgodnie z poniŜszym opisem, aby przeprowadzić konfigurację na ekranach kreatora. Kliknięcie Next >
na kaŜdym ekranie kreatora powoduje przejście dalej.
1.
Wciśnij Setup Wizard na początkowym ekranie głównym, aby wyświetlić kreatora konfiguracji.
-4-
ZyXEL
• Wybierz opcję Install on Gateway’s DMZ port, jeśli chcesz podłączyć urządzenie ZyWALL do bramy
działającej w sieci.
• Wybierz Install as a New Gateway, jeśli chcesz skonfigurować urządzenie ZyWALL zarówno jako router NAT,
jak i jako bramkę SSL VPN w sieci.
2.
Jeśli konfigurujesz urządzenie ZyWALL za inną bramą, skonfiguruj ustawienia IP urządzenia na
pierwszym ekranie kreatora.
Jeśli instalujesz ZyWALL jako nową bramę, na pierwszym ekranie kreatora naleŜy skonfigurować ustawienia
dostępu do Internetu.
3.
Stwórz nowe konto uŜytkownika zdalnego, które umoŜliwi mu zalogowanie się do sieci lokalnej.
Wprowadź unikalną nazwę uŜytkownika (do 31 znaków z zakresu „0-9”, „a-z” i „A-Z”) oraz hasło (do 64
znaków z zakresu „0-9”, „a-z” i „A-Z”).
-5-
ZyXEL
Nie moŜna uŜywać konta administratora, Ŝeby uzyskać dostęp do zasobów sieciowych.
4.
Określ adres IP i maskę podsieci sieci lokalnej za bramą ZyWALL, do której chcesz dać dostęp przez
SSL-VPN.
Określ zakres prywatnych adresów IP, które mają być przypisywane zdalnym uŜytkownikom i bramie ZyWALL.
Jest to niezbędne, aby ustanowić połączenie SSL-VPN i dać zdalnym uŜytkownikom dostęp do zasobów w taki
sposób, jak gdyby pracowali w sieci lokalnej.
5.
Kliknij Next, aby przejść dalej.
6.
Sprawdź ustawienia sieci na następnym ekranie kreatora, a potem kliknij Activate SSL-VPN License.
-6-
ZyXEL
Musisz zarejestrować urządzenie ZyWALL w serwisie myZyXEL.com, Ŝeby umoŜliwić dostęp
maksymalnie 10 zdalnym uŜytkownikom jednocześnie.
7.
Postępuj zgodnie ze wskazówkami na ekranie, Ŝeby wprowadzić dane konta w serwisie myZyXEL.com.
Kliknij Finish, aby zakończyć kreatora konfiguracji i rozpocząć proces rejestracji.
8.
Po zakończeniu tego procesu kliknij Close.
Jeśli rejestracja urządzenia nie powiedzie się, sprawdź, czy wprowadzone dane konta są
prawidłowe i czy ZyWALL ma dostęp do Internetu.
MoŜesz się teraz zalogować jako zdalny uŜytkownik, posługując się kontem uŜytkownika, które właśnie
stworzyłeś. Masz dostęp do wszystkich zasobów w sieci lokalnej (uŜywając adresu IP lub nazwy domeny).
Opcjonalnie moŜna takŜe stworzyć odnośniki na ekranie zdalnego uŜytkownika, dające za jednym kliknięcie
dostęp do aplikacji obsługiwanych przez przeglądarkę.
5 Tworzenie odnośników umoŜliwiających łatwy dostęp zdalny
Niniejsza sekcja pokazuje, w jaki sposób wskazać aplikacje internetowe i stworzyć do nich odnośniki na ekranie
zdalnego uŜytkownika.
-7-
ZyXEL
1.
Zaloguj się do menu konfiguracji przez WWW jako administrator i kliknij Object > SSL Application.
Kliknij ikonę Add.
2.
Stwórz aplikację internetową i wprowadź jej opisową nazwę w polu Service Name.
3.
4.
5.
6.
7.
W polu Address wprowadź adres serwera. Na przykład http://192.168.1.200.
W polu Server Type wybierz Web Server.
Jeśli uŜywasz niestandardowego portu (np. 8080 zamiast 80), wprowadź go w polu Virtual Web Port.
Kliknij Ok, aby zapisać ustawienia.
Kliknij SSL na pasku nawigacyjnym, a następnie kliknij ikonę Edit, aby skonfigurować „domyślną”
zasadę SSL, którą stworzyłeś za pomocą kreatora konfiguracji.
8.
Pojawi się ekran konfiguracji, na którym naleŜy wybrać nazwę aplikacji SSL, którą właśnie stworzyłeś.
Kliknij Ok, Ŝeby zapisać ustawienia. W ten sposób ustawienia aplikacji zostają przypisane do zasady
SSL, co pozwala zdalnemu uŜytkownikowi połączyć się z serwerem przez połączenie SSL-VPN.
-8-
ZyXEL
9.
Upewnij się, Ŝe serwer jest prawidłowo skonfigurowany i podłączony do sieci lokalnej.
6 Testowanie połączenia uŜytkownika zdalnego z Internetu
Wykonaj poniŜsze czynności, aby uzyskać dostęp do sieci lokalnej jako zdalny uŜytkownik z Internetu. Musisz
znać adres IP urządzenia ZyWALL w sieci WAN (moŜna go znaleźć na ekranie Status).
1.
2.
3.
4.
Podłącz swój komputer do sieci poza firmowym firewallem.
Otwórz przeglądarkę internetową i wprowadź adres WAN IP urządzenia ZyWALL jako URL.
Kliknij OK lub Tak jeśli pojawi się ekran zabezpieczeń.
Pojawi się ekran logowania. Wprowadź nazwę zdalnego uŜytkownika, utworzonego za pomocą kreatora
konfiguracji, a takŜe jego hasło. Kliknij przycisk Login.
-9-
ZyXEL
5.
6.
Po pomyślnym zalogowaniu komputer rozpocznie nawiązywanie połączenia VPN z urządzeniem
ZyWALL. MoŜe to potrwać około dwóch minut.
Jeśli zostaniesz poproszony o aktualizację wirtualnej maszyny Java (JVM), pobierz program
instalacyjny. Kliknij odnośnik prowadzący do strony z oprogramowaniem Sun Java. Zaleca się wybranie
opcji Offline Installation.
7.
Jeśli pojawi się ostrzeŜenie, kliknij przycisk Kontynuuj.
8.
W zasobniku systemowym pojawi się nowa ikona sieci. Oznacza to, Ŝe między komputerem a
urządzeniem ZyWALL zostało nawiązane połączenie VPN.
9.
Pojawi się ekran zdalnego uŜytkownika. MoŜesz kliknąć na odnośniku prowadzącym do strony
internetowej. Jeśli znasz jej adres, moŜesz teŜ po prostu otworzyć nowe okno przeglądarki i wpisać
adres strony, którą chcesz otworzyć.
- 10 -
ZyXEL
Jeśli moŜesz otworzyć stronę, udało Ci się pomyślnie skonfigurować urządzenie ZYWALL. Dalsze instrukcje na
temat konfiguracji znaleźć moŜna w Podręczniku uŜytkownika.
Upewnij się, Ŝe ustawienia przeglądarki internetowej są zgodne z tymi, które określono w
wymaganiach systemowych.
Jeśli zostaniesz poproszony o aktualizację wirtualnej maszyny Java (JVM), kliknij odnośnik
prowadzący do strony z oprogramowaniem Sun Java i pobierz oprogramowanie, uŜywając opcji
Offline Installation.
Jeśli nie moŜesz otworzyć ekranu zdalnego uŜytkownika, sprawdź, czy powiodła się rejestracja
urządzenia ZyWALL.
7 Instalowanie bramy ZyWALL w sieci
Instalację urządzenia ZyWALL moŜna przeprowadzić na dwa sposoby: za bramą lub jako nowa brama.
7.1 Za bramą
MoŜna podłączyć urządzenie ZyWALL do istniejącej bramy w sieci. Jeśli brama ma port DMZ, podłącz ZyWALL
do tego portu, aby zwiększyć bezpieczeństwo. PoniŜszy schemat pokazuje przykład sieci, gdzie ZyWALL
(SSL10) i serwer WWW (WWW) są podłączone do bramy (GW). Aby uzyskać dostęp do serwera WWW, ruch od
zdalnego uŜytkownika (A) musi przejść przez tunel VPN i kontrole bezpieczeństwa w bramie.
- 11 -
ZyXEL
Jeśli ZyWALL pracuje za firewallem lub routerem NAT, urządzenia te muszą zostać w taki
sposób skonfigurowane, aby zezwalały na połączenia do urządzenia ZyWALL na porcie TCP
443. W tym celu naleŜy uŜyć mechanizmu przekazywania portu lub reguły firewalla.
7.2 Jako brama
Jeśli w sieci nie ma jeszcze bramy, ZyWALL moŜe zostać skonfigurowany jako brama z dostępem SSL-VPN.
PoniŜszy schemat pokazuje przykład sieci, w której ZyWALL (SSL10) jest podłączony do modemu
DSL/kablowego, dającego dostęp do Internetu, a serwer WWW (WWW) jest podłączony do urządzenia ZYWALL.
Aby uzyskać dostęp do serwera WWW, ruch od zdalnego uŜytkownika (A) jest przesyłany przez tunel VPN. Aby
zwiększyć bezpieczeństwo, ZyWALL umoŜliwia konfigurację kontroli dostępu i zasad kontroli końcowego odcinka
sieci.
- 12 -
ZyXEL
Oglądanie certyfikatów produktu
1 Przejdź pod adres www.zyxel.com.
2 Wybierz produkt z listy rozwijanej na stronie głównej firmy ZyXEL, aby przejść do tego strony tego produktu.
3 Kliknij Ŝądany certyfikat, aby go obejrzeć.
- 13 -